Keamanan Fisik (Physical Security) dan Keamanan Logis (Logical Security)

-

Keamanan Fisik (Physical Security)
Physical Security adalah Tindakan atau cara yang dilakukan untuk mencegah atau menanggulangi dan menjaga hardware, program, jaringan dan data dari bahaya fisik dan kejadian yang dapat menyebabkan kehilangan yang besar atau kehancuran. Keamanan fisik termasuk perlindungan terhadap kebakaran, bencana alam, pencurian, vandalism dan teroris.
Komponen Keamanan Fisik:
  • Penghalang. Ditempatkan pada lokasi yang berpotensi menjadi titik serangan/munculnya bencana alam. Contoh:  “kunci ganda”, pagar, tabung pemadam api, sistem  penyemprot air.
  •  Sistem pemantauan dan pemberitahuan. Contoh:  lampu, sensor panas, detektor asap, detektor penyusupan  fisik, alarm, kamera.
  • Metode pengamanan. Digunakan untuk menemukan  penyerang, sebelum pencurian atau perusakan terjadi  (lebih lanjut) dan memulihkan kembali situasi dari  kecelakaan, kebakaran, dan bencana alam.

Contoh Serangan Keamanan Fisik
  • Pemasangan malware: keylogger, virus, trojan, backdoor,  rootkit.
  • Identifikasi dan pencurian informasi validasi/otentifikasi  pribadi, contoh: kata sandi, tanda pengenal.
  • Koneksi fisik ke jaringan kabel untuk menangkap lalu  lintas data.
  • Akses ke dalam sistem komputer, seperti memanen data,  merengkah kata sandi.
  • Pemasangan AP palsu.
  • Pencurian dokumen fisik atau elektronik.

Langkah-Langkah Keamanan Fisik:
Fisik:

  • Penjaga keamanan, lampu, pagar, kunci, alarm.
  • Titik­-titik akses ke fasilitas/kantor harus dibatasi dan dipantau  oleh Closed­Circuit Television (CCTV) dan alarm.
  •  Hanya dimasuki oleh orang yang berhak.
  • Akses ke sistem komputer seperti laptop, media penyimpan,  backup harus dibatasi dan terlindungi.
  • Layar komputer diposisikan agar tidak ada shoulder­surfing, dan mengunci komputer ketika penggunanya pergi.
  • Sistem komputer yang memiliki data sensitif ditempatkan di  lokasi tertutup dan terkunci.
     Teknis:

  •      Memastikan dingap, IDS, penyaringan spyware, pemindaian virus  dan trojan diterapkan pada sistem komputer, jaringan, dan peladen.
  •      Kendali akses: otentifikasi, kata sandi, ijin akses direktori.
  •      Pengamanan teknis diimplementasikan dengan mekanisme  keamanan perangkat keras atau perangkat lunak. 
     Operasional:
  •      Kendali secara administratif seperti kebijakan penggunaan,  perekrutan, dan keamanan.
  •          Analisis ancaman dan penilaian risiko dilakukan sebagai proses yang  tercatat dalam kebijakan keamanan organisasi.


Keamanan Logis (Logical Security)
Logical security merupakan jenis kontrol dalam sebuat sistem informasi yang berikaitan dengan aturan pengaksesan pengguna sesuai dengan wewenang yang diberikan/ditentukan dalam penggunaan data/informasi serta program-program sistem informasi. Maka dari itu logical security banyak berhubungan dengan user-ID untuk setiap pengguna sistem informasi.
Logical security bertujuan untuk:
  1. Melindungi data/informasi yang tersimpan di dalam perangkat sistem informasi, dari perusakan atau penghancuran yang dilakukan baik disengaja maupun tidak disengaja.
  2. Menghindari dan mendeteksi perubahan terhadap data/informasi yang dilakukan oleh pihak yang tidak berwenang, serta menjaga agar informasi tidak disebarkan kepada pihak yang tidak berwenang.
Aplikasi Logical Security
Terdapat beberapa pengaplikasian logical security terhadap sistem informasi yang pada umumnya aplikasi tersebut juga diimplementasikan ke dalam beberapa sistem aplikasi lainnya. Pengaplikasian tersebut diantaranya user-ID, password, access level, closed menu.

User-ID
Tujuan dari user-ID adalah untuk mengidentifikasi pengguna yang memiliki otoritas untuk mengakses sistem informasi. Sebelumnya sistem harus mendapatkan data semua user-ID yang akan disimpan pada basisdata sistem informasi. User-ID merupakan perisai pertama terhadap pengaksesan sistem. Setiap user-ID harus diidentifikasi oleh satu data yang bersifat unik (biasanya berupa kunci utama dalam sebuah basisdata). Beberapa data yang biasanya termasuk ke dalam user-ID diantaranya:

1. Username
Username merupakan data yang menidentifikasi setiap pengguna. Username lebih baik bersifat unik untuk dapat mengidentifikasi setiap pengguna. Username dapat dibuat menggunakan kodifikasi. Sebagai contoh username dengan nilai BDGCSAP001 (BDG = Bandung, CS = Customer Service, AP = Agus Putra, 001 = Nomor urut apabila ada pengguna yang bekerja di bagian yang sama dan nama yang sama).

2. Password
Password juga merupakan bagian dari data set user-ID. Tetapi dalam materi ini akan dibahas secara terpisah di sub bab berikutnya. Password merupakan kunci untuk masuk ke dalam sistem atau mendapatkan akses.

3. Initial Menu
Initial menu merupakan informasi menu apa saja yang akan ditampilkan pada sebuah sistem informasi berkaitan dengan hak akses setiap pengguna. Sebagai contoh pada sistem informasi akademik, menu untuk bagian akademik dengan menu untuk guru harus berbeda. Daftar menu yang dapat ditampilkan untuk setiap jenik hak akses dapat disimpan dalam basis data atau juga dapat diseleksi langsung menggunakan kode program.

4. Output Queue
Menentukan arah output dari setiap proses yang harus dikirimkan oleh sistem.

5. Special Authorities
Apabila terdapat seorang pengguna yang diberikan wewenang tambahan untuk mengakses data atau proses, dapat didefinisikan di bagian special authorities.

6. Password change date
Tanggal setiap ada perubahan password harus selalu terekam atau tersimpan.

7. Access Levels
Menentukan hak pengaksesan untuk setiap level pengguna yang berkaitan dengan data dan program (modul). Pembahasan lebih lengkap ada pada sub bab berikutnya.

Password
Password berkaitan dengan user-ID, untuk membuktikan bahwa pengguna memiliki wewenang untuk memaki dan masuk ke dalam sistem. Oleh karena itu setiap pengguna sebelum masuk ke dalam sistem informasi harus mengetik/memasukan username beserta password. Untuk menghindari percobaan pengaksesan oleh pengguna yang tidak memiliki wewenang, harus dikontrol dengan mengkombinasikan kontrol preventif dan pendeteksian. Hal tersebut dapat dilakukan dengan cara:
1.    Ditentukan batasan kesalahan dalam memasukan username dan password (misalnya sebanyak 3 kali). Apabila sudah melebihi batas tersebut maka secara otomatis username yang berkaitan dinonaktifkan oleh sistem. Dapat juga dinonaktifkan terminal yang dipakai apabila tidak akan menggangu proses sistem informasi lainnya. Untuk fasilitas pengaktifan dapat diterapkan pada sistem administrator. Kontrol ini juga dapat memberikan informasi terhadap pemilik sistem bahwa adanya aktifitas percobaan pengaksesan sistem secara illegal.
2.    Percobaan tersebut harus direkam di log file. Dimana nantinya secara berkala harus diaudit untuk menginvestigasi beberapa penyebabnya.

Sistem informasi yang baik akan merekam semua kegiatan pengguna (diwakili oleh user-ID setiap pengguna). Contohnya sistem akan merekam user-ID (beserta tanggal kejadian) yang melakukan perubahan dan penghapusan terhadap data. Pada tabel 1 di bawah ini terdapat beberapa saran untuk pengontrolan password.

Access Level
Setelah pengguna berhasil masuk ke dalam sistem dengan menggunakan user-ID dan passwordnya, maka sistem hanya akan menyediakan data dan informasi yang sesuai dengan level akses pengguna tersebut. Selain itu modul-modul yang digunakan juga sesuai dengan level akses. Oleh karena itu rincian tingkat pengaksesan harus diimplementasikan ke dalam sistem. Berikut beberapa level akses yang umum diterapkan, diantaranya:

1. No Access
Tingkat pengaksesan ini berarti pengguna tidak diizinkan memakai program beserta datanya. Sebagai default, semua file dan program memiliki tingkat pengaksesan ini.

2. Execute
Tingkat pengaksesan ini berlaku untuk program yang diizinkan untuk dijalankan oleh pengguna.

3. Read Only
Pengguna hanya diperbolehkan untuk menjalankan program yang diakses dengan membaca atau mencetak beberapa file yang berkaitan dengan program tersebut. Akan tetapi tidak diberikan akses untuk memodifikasi dan/atau menghapus data yang ada pada file tersebut.

4. Modify/Update
Pengguna diberikan akses untuk memodifikasi data yang ada pada file.

5. Delete
Pengguna diberikan akses untuk menghapus data yang ada pada file.

6. Add/Write
Memungkinkan pengguna untuk menambahkan record ke dalam file.

7. Owner
Memungkinkan pengguna memberikan hak pengaksesan terhadap file-file atau/dan menjalankan program-program tertentu kepada pengguna lain.

Closed Menu
Closed menu merupakan informasi menu apa saja yang akan ditampilkan pada sebuah sistem informasi berkaitan dengan hak akses setiap pengguna. Setiap pengguna akan diberikan menu program sesuai hak akses yang sudah ditentukan. Sebagai contoh pada sistem informasi akademik, menu untuk bagian akademik dengan menu untuk guru harus berbeda. Daftar menu yang dapat ditampilkan untuk setiap jenik hak akses dapat disimpan dalam basis data atau juga dapat diseleksi langsung menggunakan kode program.

Tanggungjawab Pemberian Kontrol
Tanggungjawab untuk pemberian kontrol terhadap tingkat pengaksesan untuk setiap pengguna biasanya dibebankan kepada security administrator. Jabatan tersebut memiliki wewenang untuk membuat, mengganti, dan menghapus user-ID beserta password dan tingkat pengaksesan. Pada tabel 2 di bawah ini terdapat beberapa contoh yang dapat dilakukan untuk memeriksa logical security.











Komentar

Posting Komentar

Postingan populer dari blog ini

ACCESS CONTROL & PROTECTION

-
Pengertian Access Control Kontrol akses adalah kumpulan mekanisme yang memungkinkan manajer sistem atau seorang sistem administrator untuk memberlakukan aturan aturan dalam penggunaan suatu sistem, obyek atau target. Fitur keamanan yang mengontrol bagaimana pengguna dan sistem berkomunikasi dan berinteraksi satu sama lain. Hal ini memungkinkan manajemen untuk menentukan apa yang dapat dilakukan pengguna, sumber daya yang mereka dapat akses, dan operasi apa yang mereka dapat melakukan pada sistem. Pengendalian Akses / Akses Kontrol (Access Control) ·          Obyek/Target : semua hal yang perlu untuk dikendalikan. Misal: ruangan, jaringan, dll. ·          Subyek/pelaku : pengguna, program atau proses yang meminta izin untuk mengakses obyek. ·          Sistem/Proses : antarmuka antara obyek dan subyek dari pengendalian akses. Dalam pengendalian ak...
Baca selengkapnya

KASUS-KASUS CYBERCRIME YANG TERJADI DI DUNIA

-
Gambar
Teknologi sudah tidak asing lagi dalam kehidupan kita pada saat ini. Banyak sekali kegiatan kita terintegrasi dengan teknologi, sebut saya browsing dan juga steaming. Namun, apa jadinya ketika kita menggunakan teknologi untuk kegiatan tersebut ada bahaya yang mengintai kita? Berikut adalah kasus CyberCrime yang viral didunia. Kasus Bank BCA Dunia perbankan nasional pernah digegerkan dengan kasus phishing pada tahun 2001. Seseorang berinisial SH membeli domain 'plesetan' yang mirip dengan domain resmi BCA  http://www.klikbca.com/  seperti  kilkbca.com ,  clikbca.com ,  klickbca.com  dan  klikbac.com .  Banyak korban terjebak situs gadungan buatan SH ini. Pelaku menggunakan metode pishing dan sinkronisasi akun. Nasabah diminta memasukkan nomer token asli di pop-up yang telah disiapkan agar si pelaku dapat mengambil saldo korban dengan leluasa. Kasus Pembajakan Website Presiden SBY Kasus pembajakan situs presidensby...
Baca selengkapnya